有没有人发现七牛云储存可能被劫持了

2016-04-20 09:22:42 +08:00
 yu1u
昨天偶然发现网站前台页面有一个叉 悬浮的,还以为是网站的模板的问题,代码审查发现一个框架代码,我立即查看网站是否被纂改,后来排除了网站的问题,又随即检查了本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持,再测试使用 https 访问网站前台,发现这个悬浮的叉还是存在,最后在排查网站 css 和 js 文件的时候,最终发现了。 放在七牛上的一个 js 出了问题,访问发现被植入了广告代码,登录七牛云储存管理平台,查看了修改时间,没有异常,下载了 js 文件到本地查看,发现也没有异常。但用七牛分配的二级域名访问 js 以及 https 访问查看都被劫持,最后怀疑七牛是否被劫持了
3774 次点击
所在节点    分享发现
28 条回复
demoxu
2016-04-20 09:25:59 +08:00
这个是运营商干的事情吧,最近很火
yu1u
2016-04-20 09:26:38 +08:00
为什么只看到一个悬浮的叉,后来发现广告页面被本地的软件拦截了。
yu1u
2016-04-20 09:28:26 +08:00
@demoxu 七牛可能在某个 cdn 服务商被劫持了。
demoxu
2016-04-20 09:28:50 +08:00
@yu1u 换个好点的广告拦截插件试试 历来广告和反广告一直在斗
yu1u
2016-04-20 09:30:47 +08:00
@demoxu 归根结底要解决劫持的问题
aaaron7
2016-04-20 09:37:24 +08:00
七牛经常搞这种事情
zangbob
2016-04-20 09:42:17 +08:00
此处要问一句:为毛不用又拍云。。。。
BOYPT
2016-04-20 09:54:23 +08:00
https 都劫持,那是七牛的回源 ISP 问题了。。。
ty0716
2016-04-20 10:38:32 +08:00
加个 SRI hash 吧

https://www.srihash.org/
yeyeye
2016-04-20 11:01:42 +08:00
解决不了 七牛要加速网站 就必须像普通用户那样访问 抓取资源 但是抓取过程中如果被运营商劫持 根本就没办法解决 除非放弃这次请求(如果有做 hash 标记可以分辨出被劫持了)

或者原网站只允许 HTTPS 方式访问

明白?
yu1u
2016-04-20 11:04:54 +08:00
@ty0716 这个是什么梗
yu1u
2016-04-20 11:05:56 +08:00
@yeyeye 已经把 js 放到本地服务器了 防不胜防
asddsa
2016-04-20 11:12:53 +08:00
为什么说“本地 dns 使用了阿里 dns 排除了本地运营商 dns 劫持”?
niuer
2016-04-20 11:33:55 +08:00
@yu1u 能不能给个联系方式,让我们技术支持看下这个问题~
rwifeng
2016-04-20 12:13:59 +08:00
@yu1u 这个应该是运营商的劫持, 这边可否给下你的劫持外链, 我们推送下,然后排查下具体的愿意。
zachgenius
2016-04-20 12:38:18 +08:00
用他们的图床我们都出现好几次图片不显示,强制刷新几次才出来。。。给他们反映过几次,都是说给刷新一下 CDN ,全国各地用户都出现图片偶尔刷不出来。。。
sakeven
2016-04-20 12:50:27 +08:00
我们这也有用户反映这个问题。
czb
2016-04-20 12:53:02 +08:00
我们在海外访问也是被国内的缓存了
VmuTargh
2016-04-20 13:22:47 +08:00
@yu1u 跨站资源 hash 不过不给加载,就这个意思
kawaiiushio
2016-04-20 13:26:56 +08:00
@zangbob 为毛要用又拍云?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/272434

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX